Ataques de denegación de servicio (DoS) en WordPress: cómo proteger tu sitio web.

Los ataques de denegación de servicio (DoS) en WordPress son una de las amenazas de seguridad más antiguas y persistentes con las que deben lidiar los administradores de sitios web. Dado el gran alcance de mercado de WordPress, no es sorprendente que muchos de estos ataques apunten a sitios construidos con este CMS.

Este artículo explorará los siguientes temas:

• Qué son los ataques DoS, cómo funcionan y sus tipos.
• Qué pueden obtener los atacantes de los ataques DoS.
• Los signos que te ayudarán a identificar un ataque DoS.
• Cómo proteger tu sitio web de estos ataques.

Seguí leyendo para aprender cómo evitar una de las formas más comunes de desactivar un sitio web de WordPress.

¿Qué son los ataques de denegación de servicio?

Los ataques de denegación de servicio (DoS) son ciberataques diseñados para desactivar un servicio, red o sitio web interrumpiéndolo de manera que los visitantes legítimos no puedan utilizarlo. Los atacantes saturan los sistemas de la víctima con solicitudes de tráfico excesivo, superando sus capacidades al punto de dejarlo inaccesible.

Los sistemas de información afectados por los ataques DoS incluyen correo electrónico, sitios en WordPress, banca en línea y más. A menudo, los ataques DoS apuntan a organizaciones grandes o de alto perfil, como instituciones gubernamentales, plataformas de comercio electrónico y bancos.

¿Cómo funcionan los ataques de denegación de servicio en WordPress?

En una interacción usuario-servidor legítima, los usuarios envían solicitudes de autorización a los servidores. Cuando el servidor responde, los usuarios pueden acceder al servidor. Ahora pueden navegar por las páginas web, usar sus servicios, etc.

En interacciones maliciosas que conducen a un DoS, los atacantes envían múltiples solicitudes con direcciones IP de retorno falsas (“spoofed”), de modo que el servidor no puede establecer una conexión legítima con ellas. Cuando el servidor no recibe confirmación del usuario (porque la dirección de retorno es falsa), seguirá intentando establecer una conexión durante un breve periodo y luego la abandonará.

Tras ello, los atacantes envían un nuevo lote de solicitudes con direcciones de retorno falsas y el proceso se reinicia. Si el servidor recibe una cantidad de tráfico que excede sus capacidades, eventualmente dejará de funcionar correctamente, como un restaurante inundado de más clientes de los que puede atender.

Cuando los atacantes buscan beneficios económicos, a menudo dirigen sus esfuerzos a empresas financieras u otras organizaciones cuya ganancia dependa de estar en línea las 24 horas del día. Los atacantes piden un rescate: una suma de dinero a cambio de recuperar el control del sistema.

Tipos de ataques de denegación de servicio en WordPress

Ataque DoS no intencionado

Es un tipo de DoS no malicioso. Ocurre cuando una súbita pero legítima avalancha de visitantes colapsa las capacidades de un servidor para manejar el tráfico. Dos sitios conocidos por dirigir grandes cantidades de tráfico a sitios externos son Slashdot (un sitio de noticias tecnológicas) y Reddit (un sitio que alberga miles de comunidades diversas).

Si una publicación que contiene un enlace a un sitio externo se vuelve extremadamente popular, miles o millones de usuarios pueden seguirlo y participar involuntariamente en un ataque DoS temporal.

Inundaciones a nivel de aplicación

Las inundaciones a nivel de aplicación son el ataque DoS típico: un mal actor envía muchas solicitudes desde direcciones de retorno falsas y abruma los sistemas de la víctima hasta que el servicio se interrumpe debido al tráfico excesivo.

El atacante puede enviar miles o incluso millones de solicitudes cada segundo, negando servicio a todos los usuarios legítimos en el proceso.

Ataques DoS distribuidos (DDoS)

Este tipo de ataque es fundamentalmente el mismo que las inundaciones a nivel de aplicación, pero implica múltiples dispositivos enviando tráfico excesivo a la víctima en lugar de uno solo. La mayoría de los dispositivos que participan en el ataque han sido comprometidos mediante alguna táctica maliciosa, como instalaciones de malware.

Tener múltiples dispositivos les da a los atacantes más poder de cómputo para llevar a cabo el ataque, facilita ocultar su origen e identidad, y complica que la víctima detenga el ataque.

A finales de los años 90 y principios de los 2000, era más fácil para los atacantes instalar malware en usuarios desprevenidos que tenían sistemas operativos vulnerables. Este malware manipulaba a cientos o miles de computadoras para unirse en el envío de tráfico a la víctima de un ataque DoS. La seguridad de los sistemas operativos ha mejorado, dificultando este método, pero sigue siendo posible.

¿Qué obtienen los atacantes con los ataques de denegación de servicio en WordPress?

Los ataques DoS tienen diversas motivaciones. Los atacantes podrían estar intentando manifestar un punto político al interrumpir un sistema gubernamental, actuar de manera maliciosa por placer o (más comúnmente) intentar obtener beneficios reteniendo un sitio web como rehén hasta que los propietarios les paguen para recuperar el control.

Los ataques DoS no suelen resultar en pérdida o robo de datos, pero aún así interrumpen las operaciones de la víctima, costándoles tiempo y dinero para restaurar la normalidad. Las razones más comunes por las que los atacantes realizan ataques DoS incluyen las siguientes:

• Obtener beneficios del chantaje a las víctimas para que paguen un rescate (como se mencionó anteriormente).
• Ser contratados para realizar sabotaje industrial o empresarial. Muchos grupos de “DoS por encargo” cometen delitos cibernéticos a cambio de una tarifa. A menudo, son contratados para sabotear a uno de los competidores de negocios del cliente.
• Vender o alquilar acceso a computadoras comprometidas bajo el control del atacante, que el cliente puede utilizar para realizar sus propios ataques DDoS.
• Robar información de tarjetas de crédito, números de seguro social y otra información de identificación personal (PII) durante el ataque, que luego pueden usar o vender.
• Causar pérdidas financieras a la víctima al interrumpir las corrientes de ingresos y generar costos posteriores al ataque.

Signos de un ataque de denegación de servicio en WordPress

Los signos comunes de un ataque DoS son:

• Servidores inusualmente lentos y un rendimiento deficiente de la red debido al aumento del tráfico.
• Una computadora inusualmente lenta si el ataque apunta a un dispositivo específico en la red.
• Tráfico de correo electrónico extremadamente alto. Los atacantes pueden enviar una corriente de correos electrónicos spam para deshabilitar un servidor.
• Patrones de tráfico inusuales, como picos durante horas de tráfico generalmente bajas.
• Recibir un error de respuesta “503 Servicio No Disponible” del servidor, lo que significa que no está listo para manejar una solicitud.
• Una sola dirección IP o un pequeño grupo de ellas realiza muchas solicitudes en un periodo limitado.
• Incapacidad para acceder a un sitio web específico o a cualquier sitio web.
• Pérdida repentina de conectividad para dispositivos en la misma red.

¿Cómo proteger tu sitio de WordPress de ataques de denegación de servicio?

La monitorización de redes es la mejor manera de identificar un ataque DoS. Los administradores de red reconocerán los patrones de tráfico inusuales y tomarán medidas para minimizar el daño. Tené en cuenta que, para un ataque lo suficientemente grande (uno que transmita enormes cantidades de datos por segundo, como varios gigabytes o más), es poco probable que cualquier contramedida sea efectiva.

Pero esto no significa que no existan métodos para prevenir los ataques DoS. Los siguientes son los que los expertos concuerdan en que son las mejores maneras de proteger tu sitio de ellos.

Desactivar XML-RPC en WordPress

XML-RPC es un protocolo que permite a la instalación principal de WordPress comunicarse con otros sistemas. Utiliza HTTP como mecanismo de transporte y XML para la codificación. XML-RPC es necesario para usar la aplicación de WordPress desde tu smartphone Android o iOS, lo que te permite gestionar tu sitio web en movimiento. 

Aunque es útil, este protocolo puede abrir tu sitio web a recibir tráfico no deseado durante un ataque DoS. Así que, si estás dispuesto a sacrificar la gestión de tu sitio web desde tu teléfono, podés protegerlo un poco más desactivando la función XML-RPC.

La forma más fácil de desactivarlo es utilizando el plugin “Disable XML-RPC-API”, que lo bloqueará de inmediato. Después de eso, no podrás usar la aplicación móvil de WordPress con las direcciones de correo electrónico asociadas a tu sitio web.

Otros métodos no involucran un plugin, pero requieren modificar el código de tu sitio web o servidor. Si no tenés experiencia en codificación, utilizar el plugin puede ser lo mejor. De lo contrario, aprendé a introducir fragmentos de código en tu sitio o contratá a un desarrollador.

Usar un CDN

Las Redes de Entrega de Contenidos (CDNs) son redes de servidores geográficamente separados que trabajan juntos para aumentar el rendimiento de la red. Cuando tu servidor forma parte de un CDN, otros servidores en la red almacenan partes de los datos de tu sitio web y los proporcionan a usuarios de todo el mundo de una manera que reduce la carga que tu servidor debe soportar.

Muchos CDNs ofrecen servicios de seguridad, como detectar tráfico sospechoso y proteger a tu servidor de recibirlo.

Usar un firewall de aplicaciones web (WAF)

Los WAFs son software de firewall que ayuda a proteger sitios web filtrando, bloqueando y monitorizando el tráfico HTTP que entra y sale de la aplicación web. Es una excelente manera de prevenir amenazas cibernéticas comunes como inyecciones SQL, scripts en sitios cruzados (XSS) y ataques DoS.

Como se explicó anteriormente, la monitorización de redes es la mejor manera de detectar e identificar el tipo de tráfico inusual asociado con los ataques DoS. Dependiendo de la configuración, los WAFs pueden proteger tu sitio rechazando paquetes de usuarios ilegítimos o previniendo más de una cantidad especificada de solicitudes dentro de un periodo específico. 

Hay docenas de WAFs disponibles para sitios web en WordPress. Exploralos y determina cuál funciona mejor para tus necesidades, teniendo en cuenta que muchos son de pago.

Invertir en un servicio de alojamiento web con protecciones contra ataques de denegación de servicio

Muchos proveedores de alojamiento web ofrecen planes con protección DoS incorporada, similar a los WAFs, como eliminar tráfico sospechoso y mantener la dirección IP de tu servidor privada para protegerlo de ser atacado.

Explorá los planes de alojamiento web para determinar cuál ofrece protección DoS.

Contratar un servicio de protección dedicado contra ataques de denegación de servicio

Esta opción no es viable ni necesaria para la mayoría de los negocios, dado su precio. Aún así, las grandes empresas de servicios financieros o plataformas de comercio electrónico que no pueden permitirse estar offline por mucho tiempo deberían considerar servicios especializados de protección DoS.

Los costos pueden alcanzar miles de dólares al mes por estos servicios, pero pueden ahorrar a las empresas mucho más cuando previenen incluso un solo ataque.

Prevenir ataques de denegación de servicio a tu sitio de WordPress

Los ataques DoS son una forma común de desactivar los servicios de un sitio web de WordPress sobrecargando sus servidores con solicitudes de tráfico malicioso. Se han utilizado durante décadas y continúan siendo un problema de seguridad evidente.

Con la información de este artículo, ahora estás al tanto de los tipos más comunes de ataques DoS y de las mejores maneras de proteger tu sitio de ellos. Usá este conocimiento y tomá las medidas necesarias para prevenir futuros ataques DoS, ahorrándote mucho tiempo, dolores de cabeza y recursos en el proceso.

Si encontraste útil este post, leé nuestro blog para más novedades, guías y consejos sobre WordPress.